コインチェック流出は安全策の不備だけが問題ではない

セキュリティ対策を二の次にするユーザー
こんな取引所は選んではいけない

――ユーザーのセキュリティ対策への意識は、どのように感じますか。

　今回の流出事件を受けて、自社のセキュリティ対策の技術的な面を発表した取引所もありましたが、対策を発表しているだけで、セキュリティの選択はユーザーに委ねている部分も多いのが現状です。

　ユーザーは、セキュリティに対するリテラシーが低い人が多く、操作性を優先してしまって、安全性はなおざりにされがちです。私がヤフーのセキュリティ担当をしていた時は、二段階認証の利用率は1％に達していませんでした。面倒くさがるのと、慣れていない人が多いからです。

　二段階認証にはいくつか方法があり、第一段階として利用者がログイン時にＩＤやパスワードを入力した後に、第二段階として認証用のセキュリティコードが、電子メールやショートメッセージで事業者から自動配信されるものがあります。実は、これはあまり安全ではなく、やらないよりはまし、という程度です。

　実際に、この方法を採用していた取引所から仮想通貨が盗まれた事例がありますし、アメリカのNIST SP800-63-3という政府調達規格では「ＳＭＳは安全ではないからセキュリティとしては認めない」と書いてあります。

――では、どのような対策を取っている取引所を選ぶのがよいのでしょうか。

　銀行などが使っている、「アプリ式のワンタイムパスワード」を使っているかどうかが一つの判断基準になります。こうしたアプリ式のセキュリティは、構築の仕組み（アプリケーションインタフェース、ＡＰＩ）が充実しているので簡単に作れるようになっています。逆に、アプリ式の二段階認証ができない取引所は選んではいけないと思います。

　ただ、アプリ式にも難点があり、連動しているスマホが壊れた時などは、ログインできなくなるので大変なんですけどね。